Aktualizace chování skupin s omezeným přístupem ("člen") místních skupin definovaných uživatelem

Souhrn

Ve verzích systému Windows dřívějších než Microsoft Windows 2000 Service Pack 4 (SP4) skupiny s omezeným členstvím člen nastavení zabezpečení v Zásady skupiny nelze použít k přidávání doménových skupin do místních skupin v členských počítačích. V systému Microsoft Windows 2000 SP4, Windows Server 2003 a novějších verzích byla aktualizována chování skupin s omezeným přístupem. Microsoft Windows XP Service Pack 1 (SP1) vyžaduje opravu hotfix aktualizace chování skupin s omezeným přístupem, Windows Vista a novější mají vestavěné této aktualizace. Tento článek popisuje změny v funkce.

Další informace

S funkci skupin s omezeným členstvím je členem můžete nyní přidat doménové skupiny do místních skupin. Další informace o funkci skupin s omezeným přístupem, včetně členů a Memberof popisy naleznete v dokumentaci k produktu Windows Server "Skupin s omezeným přístupem".

Systém Windows XP

Informace o aktualizaci Service pack

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Windows XP. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
322389 jak získat nejnovější aktualizaci service pack pro systém Windows XP

Informace o opravě hotfix

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Použití této opravy hotfix pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk. Anglická verze této funkce má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Chcete-li najít rozdíl mezi časem UTC a místním časem, použijte kartu časové pásmo v nástroji datum a čas v okně Ovládací panely.
   Date         Time   Version        Size     File name   Platform
----------------------------------------------------------------
31-Jan-2003 02:53 5.1.2600.1163 849,408 Scesrv.dll IA64
31-Jan-2003 02:53 5.1.2600.1163 307,712 Scesrv.dll i386

Přidání doménové skupiny do místních skupin

Po ověření, že je tato funkce nainstalována ve všech příslušných počítačích, můžete použít skupiny s omezeným členstvím člen nastavení přidat skupinu domény do místní skupiny (vestavěné nebo vlastní). Můžete definovat člen zásady pro různé skupiny ve více objektů Zásady skupiny (GPO), které jsou propojeny s libovolného webu, doménou nebo libovolnou organizační jednotku (OU) a všechny zásady se projeví. Například jak je znázorněno v následující tabulce, můžete vytvořit zásadu, která přidává skupinu Domain Admins do místní skupiny Administrators, a můžete přidat zásadu, která přidá My Management Admins skupinu do místní skupiny Administrators. Tato skupina je propojena s objektem GPO na úrovni domény. Můžete také vytvořit zásadu, která přidá skupinu My Organizational Unit Regional Admins do místní skupiny Administrators. Tato skupina je propojena s objekt GPO úrovni organizační jednotky. Všechny zásady budou vynuceny.

Tabulka 1: Přidání doménové skupiny do místních skupin
Doménová skupina, kterou definujete zásadu skupin s omezeným přístupem proPoložka "Člen": místní skupiny v členských počítačíchÚroveň objektu GPO, kde je definována zásada skupin s omezeným členstvímVýsledek
Domain Admins (integrované domény)Administrators (místní předdefinovaná)Úrovně doménObsahuje skupiny Administrators, Domain Admins, My Management Admins a My Organizational Unit Admins
My Management Admins (vlastní doména)Administrators (místní předdefinovaná)Úrovně doménObsahuje skupiny Administrators, Domain Admins, My Management Admins a My Organizational Unit Admins
My Organizational Unit Regional Admins (regionální vlastní organizační jednotky)Administrators (místní předdefinovaná)Úrovni organizační jednotkyObsahuje skupiny Administrators, Domain Admins, My Management Admins a My Organizational Unit Admins

Přidání stejné doménové skupiny do místních skupin ve více objektech GPO

Pokud vytvoříte více zásad skupin s omezeným přístupem pro stejnou skupinu ve více objektech GPO, pouze jedna zásada se projeví. Omezené zásady skupiny pro stejnou skupinu ve více objektech GPO neslučují. Platné zásady je určena pořadí zpracování Zásady skupiny. Informace o Zásady skupiny hierarchii a pořadí zpracování navštivte následující webu Microsoft Developer Network:Například jak je znázorněno v následující tabulce, jsou pro skupinu Domain Admins definovány dvě zásady skupin s omezeným přístupem. Jedna je definována na úrovni domény a přidává skupinu Domain Admins do místní skupiny Administrators. Druhá je definována na úrovni organizační jednotky a přidává skupinu Domain Admins do My Regional Division Admins. Domain Admins bude přidána pouze do My Regional Division Admins (ve výchozím nastavení zásad skupiny, které jsou propojeny na úrovni přepsat OU, ty, které jsou definovány na úrovni domény).

Tabulka 2: Přidání stejné doménové skupiny do místních skupin ve více objektech GPO
Doménová skupina, pro kterou definujete zásadu skupin s omezeným členstvímPoložka "Člen": místní skupiny v členských počítačíchÚroveň objektu GPO, kde je definována zásada skupin s omezeným členstvímVýsledek
Domain Admins (integrované domény)Administrators (místní předdefinovaná)Úrovně doménZ důvodu způsobu zpracování objektů GPO bude Domain Admins přidána pouze do skupiny My Regional Division Admins.
Domain Admins (integrované domény)My Regional Division Admins (místní vlastní)ORGANIZAČNÍ JEDNOTKYZ důvodu způsobu zpracování objektů GPO bude Domain Admins přidána pouze do skupiny My Regional Division Admins.

Řadiče domény

V dřívějších verzích systému Windows Pokud řadič domény zpracuje zásadu skupin s omezeným členstvím ve které části členů je prázdné, všichni členové jsou ze skupiny vymazáni při použití zásady, bez ohledu na nastavení pro člena. Pokud k prázdné členy oddílu vytvoříte zásadu skupin s omezeným přístupem na úrovni domény pro skupinu Domain Admins a místní správci jste zahrnuli do členzásady, jsou odebrány všechny členy skupiny Domain Admins, (včetně předdefinovaného účtu Administrator) a prázdná skupina Domain Admins je přidán do místní skupiny administrators.

Bylo opraveno chování v systému Windows 2000 SP4, Windows XP s aktualizací Service Pack 2 (SP2) a Windows Server 2003. V počítači je spuštěn jeden z těchto verzí systému Windows, pokud použijete zásadu skupin s omezeným přístupem, která definuje člen ale ponechá Členové prázdný, Členové oddíl je ignorován a členství ve skupině není vyprázdní.

Pokud chcete využít funkci skupin s omezeným členstvím je povolena tato aktualizace konfigurace řadiče domény, členských serverů či pracovních stanic, ujistěte se, že všechny používají systém Windows 2000 SP4, Windows XP s aktualizací SP2 nebo Windows Server 2003 tak, aby členství ve skupině domain umožněnou.

Pro členské servery a pracovní stanice chování v tomto scénáři se nezmění.

Použití "Členové" a "Člen" skupiny s omezeným členstvím zásady místní skupiny

Je vhodné definovat zásadu skupin s omezeným přístupem, která přidává skupinu domény do místní skupiny a definovat jiné zásady skupin s omezeným přístupem, která omezuje členství v této místní skupině. Konečné členství místní skupiny nelze předvídat, protože není definováno pořadí zpracování dvě zásady skupin s omezeným přístupem. Například jak je znázorněno v následující tabulce, pokud vytvoříte zásadu skupin s omezeným přístupem, která přidává skupinu Domain Admins do místní skupiny Administrators a pokud vytvoříte zásadu skupin s omezeným přístupem, která omezuje členství místní skupiny Administrators pomocí předdefinovaného účtu Administrator, nelze předvídat, pokud buď zásady budou vynuceny. Pokud Domain Admins přidána do místní skupiny Administrators před správci členství je omezen, Domain Admins přidána do místní skupiny Administrators a potom odebrány. Nicméně pokud členství v místní skupině Administrators je omezen před Domain Admins je přidán do skupiny Administrators, Domain Admins zůstanou v místní skupině Administrators.

Tabulka 3: Přidání doménové skupiny do místní skupiny s omezeným členstvím
Skupina, kterou definujete zásadu skupin s omezeným přístupem pro"Členové"Položka "Člen"
Výsledné členství ve skupině
Domain Admins (integrované domény)ŽádnýAdministrators (místní předdefinovaná)Konečné členství místní skupiny Administrators nelze předpovědět.
Administrators (místní předdefinovaná)Správce (místní předdefinovaná)ŽádnýKonečné členství místní skupiny Administrators nelze předpovědět.
Chcete-li získat požadované členství, použijte výhradně Členové nebo člen skupiny s omezeným členstvím zásady. V příkladu v tabulce 3 získat členství ve skupině Administrators, přidejte skupinu Domain Admins do místní skupiny s omezeným členstvím zásady skupiny Administrators Členové .

Systém Windows 2000

Informace o aktualizaci Service pack

Tento problém vyřešíte pomocí nejnovější aktualizace service pack pro systém Microsoft Windows 2000. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
260910 jak získat nejnovější aktualizaci service pack pro systém Windows 2000

Informace o opravě hotfix

Podporované funkce, která mění výchozí chování produktu je k dispozici od společnosti Microsoft. Tato funkce je však určena pouze tento článek popisuje chování změnit. Tuto funkci použijte pouze u systémů, které ji konkrétně potřebují.

Pokud funkce je k dispozici ke stažení, je sekce "Hotfix stažení k dispozici" v horní části tohoto článku znalostní báze Knowledge Base. Pokud tento oddíl není uveden, obraťte se na služby zákazníkům společnosti Microsoft a podpoře získat funkci.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Výdaje na technickou podporu použije dalších otázek a problémů, které se netýkají této konkrétní funkce. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: "Hotfix stažení k dispozici" formulář zobrazí jazyky, pro které je tato funkce k dispozici. Pokud váš jazyk není zobrazen, je vzhledem k tomu, že funkce není k dispozici pro daný jazyk. Anglická verze této opravy hotfix má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Chcete-li najít rozdíl mezi časem UTC a místním časem, použijte kartu časové pásmo v nástroji datum a čas v okně Ovládací panely.
 Date        Time     Version         Size       File name
-------------------------------------------------------------
07-Nov-2002 22:33 5.0.2195.6109 124,688 Adsldp.dll
07-Nov-2002 22:33 5.0.2195.5781 131,344 Adsldpc.dll
07-Nov-2002 22:33 5.0.2195.6109 62,736 Adsmsext.dll
07-Nov-2002 22:33 5.0.2195.6052 358,160 Advapi32.dll
07-Nov-2002 22:33 5.0.2195.6094 49,936 Browser.dll
07-Nov-2002 22:33 5.0.2195.6012 135,952 Dnsapi.dll
07-Nov-2002 22:33 5.0.2195.6076 96,016 Dnsrslvr.dll
15-Nov-2001 23:27 5,149 Empty.cat
07-Nov-2002 22:33 5.0.2195.5722 45,328 Eventlog.dll
07-Nov-2002 22:33 5.0.2195.6059 146,704 Kdcsvc.dll
01-Nov-2002 18:52 5.0.2195.6112 204,048 Kerberos.dll
21-Aug-2002 16:27 5.0.2195.6023 71,248 Ksecdd.sys
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll
07-Nov-2002 02:02 5.0.2195.6118 33,552 Lsass.exe
27-Aug-2002 22:53 5.0.2195.6034 108,816 Msv1_0.dll
07-Nov-2002 22:33 5.0.2195.5979 307,472 Netapi32.dll
07-Nov-2002 22:33 5.0.2195.6075 360,720 Netlogon.dll
07-Nov-2002 22:33 5.0.2195.6100 920,848 Ntdsa.dll
07-Nov-2002 22:33 5.0.2195.6100 389,392 Samsrv.dll
07-Nov-2002 22:33 5.0.2195.6120 130,320 Scecli.dll
07-Nov-2002 22:33 5.0.2195.6120 303,888 Scesrv.dll
07-Nov-2002 01:56 5.0.2195.6118 139,264 Sp3res.dll
07-Nov-2002 00:05 5.3.9.0 4,096 Spmsg.dll
07-Nov-2002 00:06 5.3.9.0 87,040 Spuninst.exe
07-Nov-2002 22:33 5.0.2195.5859 48,912 W32time.dll
04-Jun-2002 21:32 5.0.2195.5859 57,104 W32tm.exe
07-Nov-2002 22:33 5.0.2195.6100 126,224 Wldap32.dll
07-Nov-2002 02:02 5.0.2195.6118 507,664 Lsasrv.dll -- 56-bit
Další informace o tom, jak získat opravu hotfix pro systém Windows 2000 Datacenter Server klepněte na následující číslo článku databáze Microsoft Knowledge Base:
Produkt systém Datacenter Program a systém Windows 2000 Datacenter Server 265173

Další informace o instalaci více aktualizací nebo oprav hotfix pouze jedním restartováním klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
296861 instalace více aktualizací nebo oprav hotfix s pouze jedním restartováním počítače

Vlastnosti

ID článku: 810076 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor